#ifndef _DEX_FILE_HELPER_ #define _DEX_FILE_HELPER_ //此文件仅仅是起帮助作用,帮助不太了解DexFile结构的了解一下DexFile相关结构,想更具体的了解还须要參考相关源代码 //classes.dex 相应于一个结构 DexFile //struct DexFile { //    const DexOptHeader* pOptHeader;//opt 头结构指针 //    const DexHeader*    pHeader;//…

注:以下4篇博文中,部分图片引用自DexHunter作者zyqqyz在slide.pptx中的图片,版本归原作者所有: 0x01 背景介绍 安卓 APP 的保护一般分为下列几个方面: JAVA/C代码混淆 dex文件加壳 .so文件加壳 反动态调试技术 其中混淆和加壳是为了防止对应用的静态分析:代码混淆会增加攻击者的时间成本, 但并不能从根本上解决应用被逆向的问题:而加壳技术一旦被破解,其优势更是荡然无存:反调试用来对抗对APP的动态分析: 昨天看雪zyqqyz同学发了一个Android应用程序…

最近在研究安卓平台的加壳技术,以前以为只有原生层的代码才可以加壳,看了看网上的资料,才发现原来Java层也可以加壳,虽然与传统的壳有些区别,但就最终的效果来说,反静态分析的目的还是达到了的. 目前安卓市场上的大多数apk的保护方式都是对Java层进行代码混淆,将关键数据放在原生层,再用传统加壳手段对so文件进行加壳,这种方式的缺陷是Java层的代码安全完全依赖于代码混淆,实际上只要熟悉smali语法,代码混淆的意义就没有想象的那么大,对于那些资深的C/C++逆向工程师来说,逆向smali可比在一…

0x03 DexHunter代码分析 DexHunter 实现中,只需要修改一处文件:dalvik\vm\native\dalvik_system_DexFile.cpp 下面是BeyondCompare比对: 首先看一下DexHunter的设计原理: APP 启动时,通过freature string定位dex在内存中位置,并读取classdef块之前的内存为part1,读取classdef之后的内存为data.遍历class_def_item结构,生成文件classdef,并通过code_i…

/*     此为DexHunter实现的主要功能,进行内存dump,将class_def_items中dump出classdef和extra部分 */ void* DumpClass(void *parament) {   while (timer_flag) {       sleep(5);   }   DvmDex* pDvmDex=((struct arg*)parament)->pDvmDex; //pDvmDex代表一个dex文件   Object *loader=((struct…

/*     当第一个类执行到此函数时,我们在dvmDefineClass执行之前,也就是第一个类加载之前     注入我们的dump代码:即DumpClass()函数 */ static void Dalvik_dalvik_system_DexFile_defineClassNative(const u4* args,     JValue* pResult) {     StringObject* nameObj = (StringObject*) args[0];     Object*…

Smali文件结构解   Smali文件与java中的类是一一对应的,包括内部类和匿名内部类也会生成对应的smali文件(典型的比如实现某个接口的匿名内部类),所以你会看到.smali文件比.java文件更多. smali文件是由Dalvik指令组成的,它有自己的一套规则,它的指令都是以“.”开头,常用的指令如下:     指令  说明     .class  包名+类名   .super  父类类名   .source  源文件名称   .implements  接口实现   .field …

http://bbs.pediy.com/showthread.php?t=177114…

"知物由学"是网易云易盾打造的一个品牌栏目,词语出自汉·王充<论衡·实知>.人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道."知物由学"希望通过一篇篇技术干货.趋势解读.人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你. 以下为文章正文: 想知道Android App常见的保护方法及其对应的逆向分析方法吗? 网易云易盾资深安全工程师 钟亚平 3月17日,安卓巴士全球开发者论坛在重庆举办,网易资深安全工程师钟…

本文来自于腾讯优测公众号(wxutest),未经作者同意,请勿转载,原文地址:http://mp.weixin.qq.com/s/01Abwe0p1h3WLh28Tzg_Dw 1.5案例:优化dex相关内存 在上一节我们提到,随着代码功能的增加,代码复杂度也在不断地变大,这时候我们往往会发现Dalvik Other和dex mmap这两部分消耗的内存也在不断的增加.在之前的例子里,我们知道这两部分的内存已经接近总内存的一半.在Dalvik Heap已经充分优化的情况下,我们有必要继续对这部分内存…